\section{Risiko Management \it \bfseries \tiny JR}\label{sec:risikomanagement}
Ein wichtiges Thema generell ist immer das Risiko Management.
Also welche Risiken für Daten bestehen, wie ihnen entgegengewirkt werden kann und welche akzeptiert
werden.
Generell gilt, Sicherheitsansätze sollten pragmatisch im Hinblick auf die Sicherheitskontrollen
und Funktionalität des Systems sein. Dies bedeutet beispielsweise, dass die gleiche Architektur und die
gleichen Kontrollen in der Regel nicht für eine risikoarme und risikoreiche Umgebung angemessen sind.
Bezogen auf die Cloud bedeutet dies, dass es wahrscheinlich nicht sinnvoll ist, Banking-Anwendungen mit
Social-Networking-Anwendungen in einer öffentlichen Cloud zu betreiben.
Folglich ist es natürlich, dass eher von den Sicherheitsanforderungen gleichwertige Anwendungen in
einer Cloudumgebung betrieben werden sollten.
Um nun aber festlegen zu können, wie hoch die Sicherheitsanforderungen einer Anwendungen überhaupt
sind, ist es nötig, die Risiken zu kennen, denen sie ausgesetzt ist. Dies führt zwangsweise zu der
Frage, was Risiken sind und wie man sie messen kann.
Also, was ist das Risiko, oder wie kann es quantifiziert werden? Im Grunde ergibt sich, dass
Risiko eine Funktion von Bedrohungen (Threats), die Gefahr wie sie Schwachstellen (Vulnerabilities)
auszunutzen suchen und in Anbetracht der Gegenmaßnahmen (Countermeasures), die angewendet werden, um
die Vermögenswerte zu schützen.
Daraus ergibt sich die folgende Formel:
\[
Risk = (\frac{Threats ~ x ~ Vulnerabilities} {Countermeasures}) ~ x ~(Asset ~ value)
\]

Die Formel setzt voraus, dass auch für immaterielle Vermögenswerte greifbare Werte für ermittelt
werden. Denn die Höhe des Risiko ergibt
sich  durch Bedrohungen, die Schwachstellen ausnutzen und die Gegenmaßnahmen dies verhindern. Die
bewerteten Vermögenswerte spiegeln letztlich wieder, welche Relevanz die Daten für das Unternehmen
haben, konkret wie sensibel sie sind.
Das Bewerten von Risiken ist also ein komplexes Thema.
Die Abbildung \ref{figure:Sicherheit:Kosten-Nutzen} zeigt den Zusammenhang von Kosten zu Sicherheit.
Einerseits sind Sicherheitsfeature wie Vertraulichkeit, Integrität und Verfügbarkeit gefordert,
andererseits sollen diese natürlich auch kostengünstig realisierbar sein. Die Kosten sind aber
abhängig von der Höhe der Risiken, und somit direkt abhängig von der Komplexität, Zuverlässigkeit,
Verfügbarkeit und Skalierbarkeit der zu treffenden Gegenmaßnahmen. Hieraus gilt es also Punkt zu
finden, der vertretbare Sicherheit zu akzeptablen Kosten bietet, also den Punkt mit dem besten
Kosten-Nutzenwert.
\begin{figure}[h]
\centering{
\scalebox{0.9}{\includegraphics{./img/fig1_5.jpg}}}
\caption[Sicherheit: Kosten-Nutzen]{Sicherheit: Kosten-Nutzen. Aus: \cite{winkler-seccloud-11}}
\label{figure:Sicherheit:Kosten-Nutzen}
\end{figure}

\subsection{Beurteilen von Risiken} % (fold)
\label{sec:risikomanagement:BeurteilenvonRisiken}
%\paragraph{Beurteilen von Risiken}  $\;$ \\
Um Risiken beurteilen und analysieren zu können, ist es wichtig, sich zunächst folgende Fragen zu
stellen:
\begin{itemize}
  \item \textbf{Kategorisieren der Bedrohungen}  Was kann mit den Informationen/Ver\-mö\-gens\-werten geschehen?
  Wodurch werden sie bedroht?
  \item \textbf{Bedrohungsauswirkungen} Welche Auswirkungen hat eine Bedrohung auf die
  Informationen/Vermögenswerte und somit auf das Unternehmen?
  \item \textbf{Bedrohungsfrequenz} Wie häufig tritt eine Bedrohung auf?
  \item \textbf{Unsicherheitsfaktor} Wie sicher wurden diese Fragen beantwortet? Gibt Auskunft über die
  Sicherheit, mit der die Fragen beantwortet wurden.
\end{itemize}

Das Hauptproblem bei der Bewertung von Risiken ist die Unsicherheit. Denn alle Antworten auf die
drei oben gestellten Fragen basieren auf Annahmen und Wahrscheinlichkeiten. Gewünscht sind aber
letztlich konkrete Aussagen, was zur Verhinderung oder zumindestens Minderung der Risiken getan
werden kann. Also klare Gegenmaßnahmen.
Daher stellen sich die folgenden drei weiteren Fragen?

\begin{itemize}
  \item \textbf{Maßnahmen zur Risikominderung}  Was kann getan werden, um das Risiko zu senken?
  \item \textbf{Kosten der Maßnahmen} Welche Kosten verursachen die gefundenen Maßnahmen?
  \item \textbf{Bedrohungsfrequenz} Wie häufig tritt eine Bedrohung auf.
  \item \textbf{Kosten-Nutzen der Maßnahme} Welchen Kosten-Nutzenwert haben die Maßnahmen?
\end{itemize}

Bei einer Public Cloud stellen sich diese Fragen eher weniger als bei einer Private oder Hybrid
Cloud. Denn in einer Public Cloud-Umgebung erhält der Kunde letztlich die Features, für die er
zahlt. Die Fragen betreffen daher in diesem Fall eher den Cloud Service Provider. Genauso sind die Fragen bei den Service Modellen SaaS und PaaS nicht wirklich relevant, wohl aber bei IaaS.

Wie bereits erwähnt, ist das zentrale Problem im Umgang mit dem Risiko die Unsicherheit.
Problem ist die Identifizierung von Vermögenswerten, denn sie werden zwar meist nur einmal erstellt, aber oft
kopiert und verbreiten sich so. Daher hat die typische Organisation selten eine ausreichende
Kontrolle über ihre Informationsvermögenswerte in Bezug auf die Sicherheit. Folglich ist es nicht
sicher, ob es von einer  bestimmten Kopie, nicht weitere Kopien gibt.
Dieses verkompliziert sich noch, wenn die Daten in eine Cloud gespeichert werden. Daher ist eine
Klassifizierung und Kategorisierung der Daten wichtig. Auf Grundlage einer solchen Klassifizierung
lässt sich nun ein Zugriffskontrollsystem aufbauen. Es stellen sich aber auch die folgenden Fragen
bezüglich der Sicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) und was die Folge sein
würde wenn:

\begin{itemize}
  \item Informationen preisgegeben wurden?
  \item Informationen durch Externe verändert wurden?
  \item Informationen manipuliert wurden?
  \item Informationsverfügbarkeit nicht gewährleistet ist?
\end{itemize}

Wenn eines dieser Risiken für die Daten nicht akzeptabel ist, so ist dies ein Zeichen dafür, dass die
scheinbar sensiblen Daten nicht in einer Public Cloud untergebracht werden sollten sondern in einer private Cloud.

Effektives Risiko Management ist folglich ein sehr komplexes Thema, das eine Vielzahl von
Aktivitäten erfordert, deren Anzahl mit der Zeit meist zunimmt. Die Aktivitäten können jedoch
zusammengefasst werden in die folgenden vier Bereiche:
\begin{itemize}
\item \textbf{Planen} Identifizieren, analysieren und bewerten von Risiken. Geeignete Maßnahmen planen,
Sicherheitskontrollen definieren, um den Risiken effektiv entgegen zu wirken.
\item \textbf{Implementieren} Umsetzen und konfigurieren der ausgewählten Sicherheitskontrollmechanismen.
\item \textbf{Evaluieren}  Beurteilung der Wirksamkeit der getroffenen Sicherheitskontrollen in
regelmäßigen Abständen.
\item \textbf{Pflegen/Aufrechterhalten der Maßnahmen} Alle getroffenen Maßnahmen sind im produktiven
Betrieb. In regelmäßigen Abständen werden Updates durchgeführt und von Zeit zu Zeit wird es notwendig
sein, Änderungen an der Konfiguration durchzuführen. Zur Erhaltung oder sogar zur Verbesserung der
Sicherheit müssen alle sicherheitsrelevanten Änderungen die anderen Phasen (Planung,
Implementierung und Evaluierung) durchlaufen.
\end{itemize}

Jeder dieser Bereiche umfasst diskrete Schritte, die wiederum Aktivitäten beinhalten wie:
Entwicklung einer umfassenden Sicherheitspolitik, Klassifizierung von Daten und Systemen sowie die
Durchführung einer Risikobeurteilung:
\begin{itemize}
  \item \textbf{Informations Ressourcen Kategorisierung} Ziel dieses Schrittes ist es, die
  Informationsressourcen nach ihrer Sensibilität zu kategorisieren.
  \item \textbf{Auswahl der Sicherheitskontrollmechanismen} Auswahl der umzusetzenden
  Sicherheitskontrollmechanismen. Diese müssen auf die gegebenen Risiken angepasst sein und somit
  möglichst das Risiko vermeiden oder zumindest mindern. Daher ist es hier nötig sich detailliert mit dem
  Thema auseinander zu setzen, um geeignete Mechanismen auszuwählen.
  \item \textbf{Risiko Bewertung} Ermitteln, ob die getroffenen Sicherheitskontrollen ausreichend und
  angemessen sind und sie einen ausreichenden Schutz gegen zu erwartende Bedrohungen/Angriffe
  bieten. Folglich ob sie zur Risikominderung beitragen. Falls erforderlich, kann das Erweitern oder
  Überarbeiten der Auswahl der Sicherheitskontrollen nötig sein.
  \item \textbf{Implementierung der Sicherheitskontrollmechanismen} Dies setzt Wissen über die Architektur,
  die Technik voraus. Weiter ist ein gewisses Know-how in der Platzierung und Konfiguration von
  Sicherheitskontrollmechanismen nötig.
  \item{Bewerten der Sicherheitsmaßnahmen} In diesem Schritt soll die Wirksamkeit der
  implementierten Sicherheitskontrollmechanismen überprüft werden. Weiter wird überprüft ob sie korrekt
  implementiert sind und wie geplant funktionieren.
  \item \textbf{Periodische Überprüfung und Update} Die Sicherheitsmaßnahmen müssen in regelmäßigen
  Abständen geprüft werden, ob ihre Wirksamkeit noch gewährleistet ist oder ob aufgrund von betrieblichen
  Veränderungen Anpassungen nötig geworden sind.
  \end{itemize}
  Die Abbildung \ref{figure:FrameworkSicherheitsrisikomanagement} zeigt schematisch den Ablauf der
  beschriebenen Schritte für das Risiko Management. Dies ist ein weitverbreitetes Framework für das
  Risiko Management, das auch in bekannten Standards der Sicherheitsbranche zum Einsatz kommt, wie
  beispielsweise in der ISO/IEC 27001 Norm.
  
  
\begin{figure}[h]
\centering{
\scalebox{0.9}{\includegraphics{./img/fig6_1.jpg}}}
\caption[Framework f"urs Sicherheits -Risikomanagement ]{Framework f"urs Sicherheits-Risikomanagement. Aus:\cite{winkler-seccloud-11}}
\label{figure:FrameworkSicherheitsrisikomanagement}
\end{figure}
  
  
  
  
  Das Risiko Management ist auch deshalb wichtig, da es zur Kosteneinsparung
  beitragen kann. Denn eine Umfangreiche und detaillierte Planung der
  Sicherheitskontrollmechanismen verhindert beziehungsweise vermindert die Risiken und trägt somit
  entscheidend zum Erhalt von Vertraulichkeit, Integrität und Verfügbarkeit der Daten bei.
  Regelmäßige Bewertung und kritische Überprüfung, ob die allgemeine
  Strategie und deren Umsetzung noch geeignet ist, sind unumgänglich. Denn nur dadurch kann
  gewährleistet werden, dass die eingesetzten Sicherheitskontrollen auch gegen  neu erscheinende 
  Schwachstellen oder Klassen von Exploits wirksam sind.
  
\subsection{Sicherheitskontrollmaßnahmen} % (fold)
\label{sec:risikomanagement:sicherheitskontrollmassnahmen}

%\paragraph{Sicherheitskontrollmaßnahmen} $\;$ \\
 Nachdem nun schon soviel von Sicherheitskontrollmaßnahmen die Rede war, stellt sich die Frage, was
 darunter überhaupt zu verstehen ist.
 Im Wesentlichen sind Sicherheitskontrollen Gegenmaßnahmen oder Sicherheitsvorkehrungen, um
 Sicherheitsrisiken zu verhindern, zu vermeiden, entgegen zu wirken, zu erkennen, oder auf andere
 Weise auf sie zu reagieren. Sie können technische Mechanismen, manuelle Praktiken bzw. Verfahren
 sein. Es gibt verschiedene Kategorisierungsansätze für Sicherheitskontrollmechanismen. Einer
 ist beispielsweise basierend auf den verschiedenen Einsatzgebieten (Verwaltung, Gesundheitswesen, Buchhaltung, etc.) der Maßnahmen.
 \begin{figure}[h]
\centering{
\scalebox{0.9}{\includegraphics{./img/fig6_2.jpg}}}
\caption[NIST: Sicherheitskontrollmechanismen Klassen]{NIST: Sicherheitskontrollmechanismen Klassen.
Aus:\cite{winkler-seccloud-11}}
\label{figure:NIST:SicherhietskontrollmechanismenKlassen}
\end{figure}


 Eine bedeutende Kategorisierung kommt von der NIST (National Institute of Standards and
 Technology). Beschrieben in dem Artikel "NIST Special Publication 800-53 Revision 3, Recommended
 Security Controls for Federal Information Systems and Organizations"
 \footnote{http://csrc.nist.gov/publications/nistpubs/800-53-Rev3/sp800-53-rev3-final.pdf}
 Die NIST definiert drei grobe Klassen in die die Mechanismen eingeteilt werden: technische,
 operative und management. Die Sicherheitskontrollen sind dann in weiteren 18 Familien organisiert,
 die in diese drei Klassen fallen (Abbildung
 \ref{figure:NIST:SicherhietskontrollmechanismenKlassen}). Für jede dieser Kategorien hat die NIST
 eine Reihe von Sicherheitskontrollmechanismen zusammengetragen. Jeder Mechnanismus ist in der
 folgenden Form definiert:
 
\begin{itemize}
   \item \textbf{Control Identifier} Eindeutige ID zur Identifizierung des Mechanismus, beispielweise AU-5
   RESPONSE TO AUDIT PROCESSING FAILURES
\item \textbf{Control Statement} Hier werden spezifische Aktivitäten oder Aktionen, die durchgeführt werden
müssen, beschrieben.
\item \textbf{Supplemental Guidance} Zusätzliche Informationen und Aktionen, die bei Bedarf entsprechend
zusätzlich anwendbar sind.
\item \textbf{Control Enhancements} Angaben, wie zusätzliche Kontroll-Funktionalitäten implementiert werden
können oder wie die Sicherheit des Mechanismus erhöht werden kann.
\item \textbf{References} Hinweise auf Gesetze, Normen etc., die für Funktionalität oder die Erweiterung
der Funktionalität gelten oder eingehalten werden müssen.
\item \textbf{Priority and Baseline Allocation} Gibt Auskunft darüber, wie und welche speziellen Mechanismen
in sequenzieller und priorisierter Weise genutzt werden können.
\end{itemize}
Die Abbildung \ref{figure:NIST:SicherhietskontrollmechanismusAC-14} zeigt den NIST
Sicherheitskontrollmechanismus AC-14 PERMITTED ACTIONS WITHOUT IDENTIFICATION OR AUTHENTICATION. Zu beachten gilt es noch den Priority and Baseline
Allocation Abschnitt. Dieser identifiziert die Priorität der AC-14 als P1. Dies bedeutet, dass sie vor einem Sicherheitskontrolmechanismus mit der Priorität P2 (dieser sollte
mit Vorrang vor einem P3 umgesetzt werden) implementiert werden sollte.
Darüber hinaus gilt es die drei zusätzlichen Codes LOW, MOD und HIGH zu beachten. Diese beziehen
sich auf Low-Impact, Moderate-Impact oder High-Impact Informationen und Informationssysteme, auf
die die Sicherheitskontrollen angewendet werden. Also für welche Gefährdungsstufen diese Maßnahme
konkret geeignet ist.
 
\begin{figure}[h]
\centering{
\scalebox{0.9}{\includegraphics{./img/fig6_3.jpg}}}
\caption[NIST: Sicherhietskontrollmechanismus AC-14]{NIST: Sicherhietskontrollmechanismus AC-14.
Aus:\cite{winkler-seccloud-11}}
\label{figure:NIST:SicherhietskontrollmechanismusAC-14}
\end{figure}

Ein Ziel der Cloud-Sicherheit ist die Benutzerfreundlichkeit und einfache Verwendung der
Sicherheitskontrollen. Leider ist dies selten der Fall. Das Problem in Bezug auf die Sicherheit ist, 
dass auch bei der Verwendung bewährter Ansätze für die Integration von Sicherheitskontrollen in einem
System, die Ergebnisse oft zu schwer zu bedienen sind. Dies gilt für Endbenutzer oder sogar
Administratoren. Sicherheitskontrollen müssen nicht nur angebracht, sondern auch effektiv sein.
Genauso wichtig ist aber, dass sie leicht zu verstehen und durch Anwender und Administratoren
intuitiv bedienbar sein sollten.
